Descripción de la Tecnica
LC_LOAD_DYLIB Addition es una técnica de persistencia utilizada por actores maliciosos para mantener acceso a un sistema a través de binarios Mach-O. Este método permite a los atacantes cargar dinámicas librerías (dylibs) durante la ejecución de un binario, lo que puede ser aprovechado para inyectar código malicioso o acceder a recursos sensibles.
La técnica se basa en el uso de cabeceras específicas de Mach-O, donde LC_LOAD_DYLIB indica a macOS y OS X cuáles librerías dinámicas deben cargarse al iniciar un proceso. Los atacantes pueden modificar estos valores para incluir bibliotecas maliciosas, siempre que se ajusten adecuadamente los campos restantes del binario.
Como Funciona
Un adversario puede alterar un binario taintado (compilado con código malicioso) para incluir una entrada LC_LOAD_DYLIB que apunte a una biblioteca dinámica no autorizada. Durante la carga del proceso, el sistema operativo cargará esta librería, permitiendo al atacante ejecutar código malicioso en contexto de usuario o administrador.
Este método es particularmente efectivo en entornos donde los binarios son modificados por malware para simular comportamientos legítimos. La técnica aprovecha la dependencia de las librerías dinámicas en sistemas macOS, lo que permite a los atacantes mantener una presencia persistente sin ser detectados inicialmente.
Actores que la Utilizan
Esta técnica es utilizada por diversos actores maliciosos que emplean binarios Mach-O para establecer persistencia. No se han identificado actores específicos en el contexto proporcionado, pero es común en amenazas de alto nivel que buscan mantener acceso a sistemas mediante técnicas de loadable libraries.
Detección
La detección debe centrarse en la revisión de binarios Mach-O para identificar entradas LC_LOAD_DYLIB inusuales. Se recomienda monitorear:
- La presencia de librerías dinámicas no autorizadas en archivos ejecutables.
- Cambios anómalos en los valores de cabecera de binarios, especialmente en sistemas con acceso remoto o software de terceros.
- Uso de herramientas de análisis de archivos (como otool) para verificar la firma y el contenido de las librerías cargadas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica: 1. Implemente controles de integridad para archivos ejecutables y librerías dinámicas. 2. Use firmas digitales verificadas para todos los binarios que se cargan en sistemas críticos. 3. Aplicar actualizaciones de seguridad para corregir vulnerabilidades en el sistema operativo y aplicaciones. 4. Monitorear comportamientos anómalos en la carga de librerías dinámicas, especialmente en entornos con acceso remoto o automatización.